管理非人类身份的安全策略

关键要点

在保护非人类身份NHI时，组织需要关注以下三个基础领域：1 发现与态势管理：建立全面的监控与管理体系。2 第三方泄露响应与凭证轮换：快速应对第三方安全事件。3 异常检测：监控非正常行为，防止安全攻击。

非人类身份NHI的快速增长包括服务账户、系统账户、IAM角色、API密钥、令牌、秘密，以及其他与人类用户无关的凭证，已造成安全事件和数据泄露事件激增。因此，在构建NHI安全策略时，需要关注以上三个关键领域。

1 发现与态势管理

在一所组织中，每1000个用户通常会有约10000个非人类连接或凭证。这意味着进行持续的发现、盘点和监控是至关重要的。

这一活动必须在所有环境中进行，无论是内部托管和管理的企业IT系统，还是外部环境如SaaS应用程序，后者在可见性和监控方面给组织带来了额外挑战。

因此，组织需要拥有强大的SaaS治理计划，并且可以借助于如Cloud Security Alliance (CSA) 的SaaS治理最佳实践指南。

拥有一个治理程序和计划是件好事，但组织还必须具备现代安全工具，以确保能够在各种环境中维护NHI的可见性。

虽然可见性是一个良好的起点，并符合资产盘点等长期最佳实践，但你还需要能够提供丰富的上下文以帮助优先处理与NHI相关的风险。可视化工具如连接图能够展示正在进行的连接、涉及的系统、产品和供应商，以及相关风险。

这还包括NHI拥有的权限信息，例如读取和写入的内容、NHI的权限级别比如管理级别的访问权限等。为支持零信任的实施，你还需要能够根据NHI的访问级别，确定哪些权限正在被实际使用。这可以帮助适当调整权限，并促进零信任原则，如最小权限访问控制。

根据报告，只有2的已应用权限实际上正在使用，这意味着高达98的已应用权限是不必要的，且过于宽松。这些凭证仍然是攻击者的主要目标，并且根据最新的Verizon数据泄露报告，是数据泄露的主要攻击路径之一。

这意味着这些NHI在静静等待攻击者的到来，而一旦被利用，攻击者能够利用权限的过度分配进行横向移动、访问敏感数据，采取其他能够影响组织、其系统及数据的有害行为。

有效监控和管理组织NHI的态势，需要考虑广泛的因素。这包括与所分配和使用的权限有关的问题、供应商及其产品的声誉、实时运行时上下文如可疑行为以及威胁情报例如，某个供应商最近遭遇的泄露或安全事件。所有这些洞察和上下文能够被用来全面降低与NHI相关的组织风险。

2 第三方泄露响应与凭证轮换

NHI经常与第三方如商业伙伴、客户、外部SaaS提供商等建立连接。当这些第三方经历安全事件时，就必须对受到影响的NHI进行强有力的第三方泄露响应和凭证轮换。

任何泄露响应活动的第一步是了解自己是否受到影响；快速识别与遭遇事件的第三方关联的受影响凭证的能力至关重要。您需要明确这些NHI连接着什么，谁在使用它们，以及如何进行轮换而不干扰重要的业务流程，或至少在轮换之前了解这些影响。

我们知道，在安全事件中，速度是关键。能够迅速超越攻击者，